6月2日,一个风和日丽的早上,心情不错,刚和来公司拜访的新电信客户经理,聊了些业务规划的事情。回到办公室,见到厂长和业务一脸沉重的找到我,“小朱,我们被黑客诈骗了!”“what?21世纪了,还能有被骗的?”

  • 经过

    经过和业务的了解,事情的经过如下:
    供应商提供,由于众所周知的疫情和美国科技封锁的原因,我们购入这批材料需要付给美国大笔的税费且交期特别的长。于是公司高层决定,由上海总公司打款给台湾分公司,由台湾分公司出面从美国供应商那里代为采购这批材料,从而节约大笔的税费。
    因为前几次交易,台湾和上海以及供应商三方沟通的问题导致货款未及时给付到位,造成供应商对我们的信任危机,供应商改变策略,必须款到发货。由于这次两家客户的要货特别急,业务和台湾代购同事的沟通不畅,导致货款迟迟不能付出,材料也迟迟不能到位。眼看产品交期将近,材料没有,于是业务着急的向台湾代购同事索要了供应商的邮箱,直接和美国供应商直接沟通。经过近一个月的沟通,5月4日,总算将款项落实,但是业务迟迟没有等到材料的到来,便一直在邮件上催促供应商发货。
    直到今天早上,对方供应商发来邮件,询问何时付款,材料已到海关多时,这批材料我们到底还要不要!此时业务才意识到情况不对劲,和供应商沟通下来,发现自己被骗了,材料款已经汇入黑客账户一月有余。
    6-7日下午,随业务去派出所报警,由于汇款时间已经过去很久,且涉及到境外汇款,案情十分复杂,业务虽对追回货款还有一些期望,但我觉得追回概率为0。

  • 事件关键点

    经过对邮件复盘和业务的询问,总结出以下关键点

    • 对方供应商是我们的老供应商,已经合作十余年,且期间银行帐号一直未做改动

    • 5月20日,业务跟我反馈他的所有邮件被莫名删除。我当时以为是他误操作,简单的将邮件全部恢复了事。但随后业务又和我反馈,邮件又被删除,我登录后台查看,邮箱有境外pop登录记录,且时间已经比较长了,我估计邮箱密码已经泄露,怕是有人要搞事情,便让业务修改密码,绑定手机号,将业务邮箱锁死只能 在公司IP下登录。(这个时候,其实黑客已经拿到钱,估计看后面下的套我们业务没有上套,准备擦屁股走人了)

    • 业务在和供应商沟通过程中,对方邮件发件人一直是正常的供应商的邮箱,地址后缀为.com,但是右击回复邮箱的时候,收件人的邮箱地址(供应商)改变了,地址后缀变成.cf,业务就这么和对方沟通了近两个月丝毫没有发现

    • 关于供应商的邮件,事后复盘,查看邮件头发现,在4月初的之前都是由美国堪萨斯列涅萨发出,4月中旬的某一天突然变成了德国萨克森自由州,估计供应商邮箱不是被黑了,就是域名被劫持了

    • 通过业务和供应商的沟通发现,供应商那边也收到黑客伪装成我们发给他的邮件,回件地址同样后缀被改为.cf,但是供应商那边收到的邮件的发件地址不知道是否是我们正常的邮件地址。(这特么不是典型的中间人攻击)

    • 黑客伪造了一些文件,汇款的账户信息上虽然有部分供应商厂名的单词在上面,但是和以前的账户名称完全不同。

    • 在第一次货款支付完成后,黑客企图再次下套,谎称银行账户出现问题被冻结,让我们再支付50%货款帮助其解冻,业务没有上当。

  • 事件总结以及改善措施

    • 总结

      • 这次事件完全是由于业务以及台湾财务人员,信息安全意识淡薄,毫无规章制度意识,所导致的被诈骗事件。

      • 黑客所用的更改汇款账户的理由十分的扯淡,是常用的诈骗套路,业务和财务相关人员竟然没有识别出来。

      • 在黑客提出要变更汇款账户时,业务和财务相关人员竟然没有回电再次确认,也没有索要正式的盖有公章的变更函,只是简简单单的一封要求变更账户的邮件,就将货款打入骗子账户,有点离谱。

      • 业务急功近利,擅自插手采购相关事务,又不了解采购相关流程和供应商相关信息,直接导致此次事件的发生。

      • 台湾代购同事不负责任,自己职务范围内的事情不积极处理掉,反而甩手给不熟悉情况的非本职务的同事去完成。

      • 台湾财务人员没有安全意识,合作十余年账户从未变更过的供应商汇款信息变更没有仔细核实,没有审核,直接打款。。。。。

      • 邮件系统安防存在问题,业务邮箱在海外持续pop异常登录,没有报警信息,没有提示,当对方邮箱IP地址变更后以及回复邮箱地址的后缀从.com变成.cf 没有报警提示。

    • 改善措施

      从IT的角度来看,此次事件技防方面是有所不到位的地方,正如上面所说,我们的邮件系统的安防还是存在漏洞的,和阿里那边的工程师聊过以后他们给出如下建议

      • 对于企业关键岗位的邮箱,邮箱必须绑定手机,设置IP限制,只能在指定范围内IP登陆,关闭POP、IMAP等相关协议,限制只能使用网页版登陆。

      • 不随意打开邮件中的网站、二维码

      • 不下载,不查看可疑邮件的附件

      • IT应加强对公司相关员工的电信反诈骗能力的培训,应常态化宣导典型的电信诈骗案例,加强相关员工对于电信诈骗的识别能力,增强员工的网络安全意识。

      从企业管理的角度来看,此次事件暴露出许多管理和制度方面的漏洞,仅提出以下建议

      • 对于供应商管理,汇款账户等关键信息的变更需要供应商出具正式函件(加盖公章),并通过第二种方式联系确认。

      • 对于岗位职责,人事方面需加强培训,树立岗位职责和责任意识。

      • 对于公司员工,专岗专责,不得擅自越权处理其他岗位不熟悉的重大事项(尤其涉及到金钱的),对于紧急事件应当及时上报上级领导,交由上级领导协商处理。

      • 对于财务部门,当汇款信息改变时,应当向有关人员核实相关信息,并索要正式函件,没有正式函件或信息异常的,应当停止汇款,并上报相关领导。